북한 해커 조직 라자루스가 파일 없는 트로이 목마 RemotePE를 배포하여 암호화 회사와 은행을 공격하다

Cryptopolitan에 따르면, 사이버 보안 분석가들이 RemotePE라는 이름의 새로운 유형의 파일 없는 원격 접근 트로이 목마(RAT)를 발견했습니다. 북한과 관련이 있다고 여겨지는 사이버 범죄 조직인 Lazarus Group이 이 트로이 목마를 이용해 은행과 암호화폐 회사를 공격하고 있습니다. 이 트로이 목마는 완전히 메모리에서 실행되며, 전통적인 안티바이러스 및 포렌식 도구로는 탐지가 어렵습니다. 공격자는 Telegram을 통해 거래 회사 직원으로 가장하고, 위조된 Calendly 및 Picktime 링크를 사용하여 사회 공학 공격을 수행합니다. 악성 소프트웨어는 DPAPILoader, RemotePELoader 및 RemotePE의 세 단계로 체인 로딩되며, 전체 과정에서 파일 시스템에 접촉하지 않고, 프로세스 비우기, 반 분석 검사 및 암호화된 C2 통신을 이용해 탐지를 회피합니다.

이 악성 소프트웨어는 2025년 9월에 처음 발견되었습니다. 2026년의 첫 4개월 동안, Lazarus 조직은 약 5.77억 달러의 암호 자산을 훔쳤으며, 이는 전 세계 암호 도난 총액의 76%를 차지합니다. 2017년 이후, 이 조직이 누적 도난한 금액은 60억 달러에 달합니다.